2020年1月1日，《中華人民共和國密碼法》（以下簡稱《密碼法》）正式頒布施行，從《密碼法》對商用密碼的法定化管理，到等保2.0對商用密碼的升級保護。我國加快構建以《密碼法》為核心，以《商用密碼管理條例》等行政法規為主干，以《商用密碼應用安全性評估管理辦法》《信息安全等級保護商用密碼管理辦法》等規章，形成權責明確、功能互補、協調一致的密碼法律法規體系，構筑起維護國家安全的密碼防線。

2023年7月1日起實施的《商用密碼管理條例》更是擴大密評范圍，變“推薦性”為“強制化”，并且明確規定密評、關保、等保應當加強銜接，避免重復評估、測評。隨著眾多政策要求多監管、強監管和日益嚴峻的安全風險，對運營單位網絡安全提出了更高要求，多規管理融合大勢所趨，一次測評，多規滿足，避免了重復測評帶來的時間和經濟額外成本。

?在數字經濟蓬勃發展的背景下，商用密碼作為信息安全的核心基石，其重要性日益凸顯。2024年，國家層面密集出臺了一系列重磅政策文件，旨在推動商用密碼在電子政務、金融、自然資源、工業等關鍵領域的廣泛應用，為數字經濟的發展提供堅實保障。

本文梳理了《密碼法》施行以來，我國出臺的部分與密碼相關的政策法規、密碼應用及安全性評估標準等近百項文件，為行業同仁提供參考。

國家法律法規及相關政策

● 《中華人民共和國密碼法》

【施行時間】2020/1/1

【主要內容】共五章四十四條（第一章總則，第二章核心密碼、普通密碼，第三章商用密碼，第四章法律責任和第五章附則），分別就什么是密碼，如何管理密碼、如何使用密碼、法律責任等方面進行了規定。

● 《中華人民共和國數據安全法》

【施行時間】2021/1/1

【主要內容】針對重要數據在管理形式和保護要求上提出了嚴格和明確的保護制度。在管理形式上，《數據安全法》采用目錄管理的方式；在保護要求上，《數據安全法》在一般保護之外，強化了重要數據、核心數據的保護要求。

● 《商用密碼應用安全性評估管理辦法》

【發布時間】2023/9/26

【主要內容】為了規范商用密碼應用安全性評估工作，保障網絡與信息安全，維護國家安全和社會公共利益，保護公民、法人和其他組織的合法權益。

● 《商用密碼檢測機構管理辦法》

【發布時間】2023/9/26

【主要內容】根據商用密碼檢測機構管理現實需要，對檢測機構資質認定、監督管理等提出明確要求，對于規范檢測機構市場準入及從業行為、促進商用密碼檢測行業健康發展具有重要意義。

● 《關鍵信息基礎設施安全保護條例》

【施行時間】2023/9/1

【主要內容】規定了關鍵信息基礎設施運營者的責任和義務，列出了產品服務安全以及運營安全的具體條例，對從事危害關鍵信息基礎設施的活動和行為提出了相關處罰措施，為開展關鍵信息基礎設施的安全保護工作提供了重要的法律支撐。

● 《商用密碼管理條例》

【發布時間】2023/4/27

【主要內容】規范商用密碼應用和管理，鼓勵和促進商用密碼產業發展，保障網絡與信息安全，維護國家安全和社會公共利益，保護公民、法人和其他組織的合法權益。

● 《貫徹落實網絡安全等級保護制度和關鍵信息基礎設施安全保護制度的指導意見》

【發布時間】2020/7/22

【主要內容】是落實等級保護2.0制度的重要標志，首次系統、明確地對關鍵性基礎設施的保護提出了要求，具有非常強的實際操作性。

● 《國家政務信息化項目建設管理辦法》

【發布時間】2020/1/21

【主要內容】“有關部門自行審批新建、改建、擴建，以及通過政府購買服務方式產生的國家政務信息化項目，應當按規定履行審批程序并向國家發展改革委備案。備案文件應用包括……密碼應用方案和密碼應用安全性評估報告等內容。

● 《國家密碼管理局商用密碼隨機抽查事項清單（2024年版）》

【發布日期】2024/7/19

【主要內容】明確了商用密碼產品檢測、商用密碼應用安全性評估等抽查事項，為商用密碼的監管提供了具體依據。

● 《電子政務電子認證服務管理辦法》

【發布日期】2024/9

【主要內容】規范了電子政務電子認證服務的含義、資質認定要求及監管體制，為電子政務的安全運行提供了有力保障。

● 《網絡數據安全管理條例》

【發布日期】2024/9/24

主要內容：要求網絡數據處理者加強數據安全防護，采取加密等措施保護網絡數據免遭泄露或非法利用，并強調商用密碼在風險評估中的重要地位。

● 《關鍵信息基礎設施商用密碼使用管理規定（征求意見稿）》

【發布日期】2024/11/15

【主要內容】強化了關鍵信息基礎設施運營者的責任，明確了商用密碼使用的具體要求，為重要領域的信息安全提供了制度保障。

金融領域密碼應用

● 《證券期貨業網絡和信息安全管理辦法》

【施行時間】2023/5/1

【主要內容】核心機構和經營機構應當按照國家及中國證監會有關要求，開展信息技術應用創新以及商用密碼應用相關工作。

● 《金融標準化“十四五”發展規劃》

【發布時間】2022/1/23

【主要內容】推動金融信息科技外包服務評價、金融機構安全運營中心建設、金融數據分級、生命周期安全與評估、商用密碼應用等標準供給與實施。

● 《監管數據安全管理辦法（試行）》

【發布時間】2020/9/23

【主要內容】銀保監會建立健全監管數據安全協同管理體系，推動銀保監會有關業務部門、各級派出機構、受托機構等共同參與監管數據安全保護工作，加強培訓教育，形成共同維護監管數據安全的良好環境。

● 《中國銀保監會辦公廳關于預防銀行業保險業從業人員金融違法犯罪的指導意見》

【發布時間】2020/2/24

【主要內容】銀行保險機構要制定內部網絡安全管理制度和操作規程，建立監督制約機制，確保制度得到剛性執行。加強數據安全管理，嚴格控制數據授權范圍，實現數據分類、重要數據備份和加密。

● 《銀行保險機構數據安全管理辦法》

【發布日期】2024/12/27

【主要內容】鼓勵使用密碼技術保護金融領域數據安全，為銀行保險機構的數據安全管理提供了指導。

基礎信息網絡密碼應用

● 《“十四五”信息通信行業發展規劃》

【發布時間】2021/11/1

【主要內容】健全行業網絡安全審查體系，推進網絡關鍵設備安全檢測認證，建立供應商網絡安全成熟度認證等供應鏈風險管理制度，穩妥有序推進商用密碼應用，提升網絡基礎設施安全保障水平。

● 《物聯網新型基礎設施建設三年行動計劃（2021—2023年）》

【發布時間】2021/9/10

【主要內容】強化安全支撐保障。加快物聯網領域商用密碼技術和產品的應用推廣，建設面向物聯網領域的密碼應用檢測平臺，提升物聯網領域商用密碼安全性和應用水平。

● 《5g應用“揚帆”行動計劃（2021-2023年）》

【發布時間】2021/7/5

【主要內容】開展5G應用安全示范推廣。在5G應用中推廣使用商用密碼，做好密碼應用安全性評估。

交通運輸網絡密碼應用

● 《公路水路關鍵信息基礎設施安全保護管理辦法》

【施行時間】2023/6/1

【主要內容】法律、行政法規和國家有關規定要求使用商用密碼進行保護的公路水路關鍵信息基礎設施，其運營者應當使用商用密碼進行保護，自行或者委托商用密碼檢測機構每年至少開展一次商用密碼應用安全性評估。

● 《加快建設交通強國五年行動計劃（2023-2027年）》

【發布時間】2023/3/29

【主要內容】開展網絡和數據安全能力提升行動。組織實施網絡安全實網攻防演練，加強商用密碼應用推廣。

● 《道路運輸電子證照運行服務規范（試行）》

【發布時間】2022/11/21

【主要內容】省級交通運輸主管部門應加強電子證照的數據安全保護，嚴防非法授權訪問、非法數據出庫等行為，防止數據泄露，保障數據安全。加強國產密碼應用和安全性評估。

● 《車聯網網絡安全和數據安全標準體系建設指南》

【發布時間】2022/2/25

【主要內容】總體與基礎共性標準是車聯網網絡安全和數據安全的總體性、通用性和指導性標準，包括術語和定義、總體架構、密碼應用等3類標準。

● 《交通領域科技創新中長期發展規劃綱要（2021—2035年）》

【發布時間】2022/1/24

【主要內容】圍繞全面提升智慧交通發展水平，加快移動互聯網、人工智能、區塊鏈、云計算、大數據等新一代信息技術及空天信息技術與交通運輸融合創新應用，推動交通運輸領域商用密碼創新應用，加快發展交通運輸新型基礎設施。

● 《工業和信息化部關于大眾消費領域北斗推廣應用的若干意見》

【發布時間】2022/1/17

【主要內容】加快推進高精度、低功耗、低成本、小型化的北斗芯片及關鍵元器件研發和產業化，形成北斗與5G、物聯網、車聯網等新一代信息技術融合的系統解決方案。鼓勵應用商用密碼，保障產品安全。

● 《“十四五”郵政業發展規劃》

【發布時間】2021/12/28

【主要內容】在網絡建設和運營過程中，同步規劃、建設、使用有關安全保護措施，嚴格落實國家關于等保、關保、密評等有關要求。

● 《數字交通“十四五”發展規劃》

【發布時間】2021/12/22

【主要內容】健全國家綜合交通運輸信息平臺基礎支撐和網絡安全防護體系，加強關鍵信息基礎設施保護和商用密碼技術應用。

● 《交通運輸領域新型基礎設施建設行動方案（2021—2025年）》

【發布時間】2021/8/31

【主要內容】建立健全數據安全保護制度，加強基礎設施數據全生命周期管理和分級分類保護，落實數據容災備份措施。推進商用密碼技術應用。

● 《城市軌道交通自動售檢票系統運營技術規范（試行）》

【發布時間】2021/5/27

【主要內容】 軌道交通專用票、二維碼車票、一卡通卡等密鑰的使用和管理符合國家網絡安全及商用密碼管理的相關法律法規和標準要求。

● 《交通運輸部關于推動交通運輸領域新型基礎設施建設的指導意見》

【發布時間】2020/8/3

【主要內容】切實推進商用密碼等技術應用，積極推廣可信計算，提高系統主動免疫能力。

● 《交通運輸部辦公廳關于充分發揮全國道路貨運車輛公共監管與服務平臺作用支撐行業高質量發展的意見》

【發布時間】2020/4/26

【主要內容】做好網絡運行安全和網絡信息安全工作，完善安全等保三級系統的網絡安全保護體系，建立健全網絡安全防范、監測、通報、響應和處置機制。

能源領域密碼應用

● 《2023年電力安全監管重點任務》

【發布時間】2023/1/17

【主要內容】修訂行業網絡安全事件應急預案，建立完善網絡安全監督管理技術支撐體系， 推動量子計算、北斗、商用密碼等在電力行業的應用。

● 《電力行業網絡安全管理辦法》

【發布時間】2022/11/16

【主要內容】電力企業應當按照國家有關規定開展商用密碼應用安全性評估等工作，未達到要求的應當及時進行整改。

● 《電力行業網絡安全等級保護管理辦法》

【發布時間】2022/11/16

【主要內容】單獨設置“網絡安全等級保護的密碼管理”章節，要求電力企業應當按照有關法律法規要求，開展商用密碼應用安全性評估工作。

● 《“十四五”推動石化化工行業高質量發展的指導意見》

【發布時間】2022/3/28

【主要內容】實施石化行業工業互聯網企業網絡安全分類分級管理，推動商用密碼應用，提升安全防護水平。

先進制造業密碼應用

● 《關于促進鋼鐵工業高質量發展的指導意見》

【發布時間】2022/1/20

【主要內容】 落實網絡安全主體責任，大力提高商用密碼應用安全，提升工業控制系統安全防護水平，制定應急響應預案，積極應對新興技術融合帶來的安全挑戰。

●《“十四五”原材料工業發展規劃》

【發布時間】2021/12/21

【主要內容】深化實施原材料生產企業工業互聯網網絡安全分類分級管理，推動商用密碼技術應用，提升重點行業企業工業互聯網安全防護能力。

●《“十四五”智能制造發展規劃》

【發布時間】2021/12/21

【主要內容】加強安全保障。加強智能制造安全風險研判，同步推進網 絡安全、數據安全和功能安全，推動密碼技術深入應用。

●《新能源汽車產業發展規劃（2021—2035年）》

【發布時間】2020/10/20

【主要內容】打造網絡安全保障體系。健全新能源汽車網絡安全管理制度，構建統一的汽車身份認證和安全信任體系，推動密碼技術深入應用。

●《建材工業智能制造數字轉型行動計劃（2021-2023年）》

【發布時間】2020/9/16

【主要內容】構建工業互聯網密碼支撐體系，加快商用密碼在建材行業深度應用。

現代服務業及新興產業密碼應用

● 《“十四五”電子商務發展規劃》

【發布時間】2021/10/9

【主要內容】探索建立電子商務平臺網絡安全防護和金融風險預警機制，支持電子商務相關企業研究多屬性的安全認證技術，充分發揮密碼在保障網絡信息安全方面的作用。

●《知識產權公共服務“十四五”規劃》

【發布時間】2021/12/31

【主要內容】加強對云計算、大數據、區塊鏈、人工智能等新技術新應用的安全防護，確保其技術、產品、服務和供應鏈安全。積極推進國產密碼技術和產品應用，提升使用密碼技術保障網絡與數據安全的水平。

●《關于推動物業服務企業加快發展線上線下生活服務的意見》

【發布時間】2020/12/4

【主要內容】嚴格落實網絡和數據安全法律法規和政策標準，建立健全安全管理制度，采用國產密碼技術，增強安全可控技術和產品應用，加強日常監測和安全演練，確保智慧物業管理服務平臺網絡和數據安全。

電子政務密碼應用

● 《國務院關于加強數字政府建設的指導意見》

【發布時間】2022/6/6

【主要內容】加強關鍵信息基礎設施安全保護和網絡安全等級保護，建立健全網絡安全、保密監測預警和密碼應用安全性評估的機制，定期開展網絡安全、保密和密碼應用檢查，提升數字政府領域關鍵信息基礎設施保護水平。

●《加快推進電子證照擴大應用領域和全國互通互認》

【發布時間】2022/1/20

【主要內容】 加強電子證照簽發、歸集、存儲、使用等各環節安全管理，嚴格落實網絡安全等級保護制度等要求，強化密碼應用安全性評估。

●《全國一體化政務服務平臺移動端建設指南》

【發布時間】2021/9/29

【主要內容】各地區和國務院有關部門要綜合利用密碼技術、安全審計等手段強化本地區本部門政務服務平臺移動端安全保障和風險防控能力。

醫療保障密碼應用

●《關于印發“十四五”全民健康信息化規劃的通知》

【發布時間】2022/11/7

【主要內容】構建衛生健康行業網絡可信體系。建設一批醫療衛生機構商用密碼應用示范，全面推廣商用密碼應用，完善衛生健康行業商用密碼應用體系。

●《關于印發醫療衛生機構網絡安全管理辦法的通知》

【發布時間】2022/8/8

【主要內容】在網絡建設過程中同步規劃、同步建設、同步運行密碼保護措施，使用符合相關要求的密碼產品和服務。

●《藥品監管網絡安全與信息化建設“十四五”規劃》

【發布時間】2022/4/24

【主要內容】完善網絡安全保障體系，健全網絡安全管理制度，開展信息系統安全等級保護備案與信息安全等級保護測評、關鍵信息基礎設施安全保護、密碼應用安全性評估等工作。

教育行業密碼應用

●《推進教育新型基礎設施建設構建高質量教育支撐體系》

【發布時間】2021/7/1

【主要內容】利用國產商用密碼技術推動數據傳輸和存儲加密，提升數據保障能力。

●《教育部關于加強新時代教育管理信息化工作的通知》

【發布時間】2021/3/10

【主要內容】數字認證使用的密碼技術和產品應符合國家密碼管理部門要求。

工業互聯網密碼應用

●《工業和信息化領域數據安全管理辦法（試行）》

【發布時間】2022/12/8

【主要內容】工業和信息化領域數據處理者應當按照法律、行政法規規定和用戶約定的方式、期限進行數據存儲。存儲重要數據和核心數據的，應當采用校驗技術、密碼技術等措施進行安全存儲，并實施數據容災備份和存儲介質安全管理，定期開展數據恢復測試。

●《“十四五”大數據產業發展規劃》

【發布時間】2021/11/15

【主要內容】推動數據安全產業發展。支持重點行業開展數據安全技術手段建設，提升數據安全防護水平和應急處置能力。加強數據安全產品研發應用，推動大數據技術在數字基礎設施安全防護中的應用。

●《加快推動區塊鏈技術應用和產業發展的指導意見》

【發布時間】2021/5/27

【主要內容】構建底層平臺。在分布式計算與存儲、密碼算法、共識機制、智能合約等重點領域加強技術攻關，構建區塊鏈底層平臺。

密碼國家標準規范

密碼規范指導性文件

● 《商用密碼應用安全性評估FAQ（第三版）》

【發布時間】2023/10

【主要內容】該文件對商用密碼應用安全性評估工作及相關標準中涉及的常見問題進行了整理和解答，以幫助相關人員更好開展商用密碼應用與安全性評估工作。

● 《商用密碼應用安全性評估發展研究報告（2023年）》

【發布時間】2023/8

【主要內容】本報告總結了密評相關政策法規要求及密評體系建設進展，分析了密評 行業發展情況，并對密評工作未來發展提出了建議，為密評相關工作者提供參考。

● 《商用密碼應用安全性評估量化評估規則》

【發布時間】2023/7/17

【主要內容】本文件適用于規范信息系統密碼應用安全性評估，以及指導相關信息系統的規劃、建設 等工作。

● 《商用密碼應用安全性評估報告模板（2023版）》

【發布時間】2023/1

● 《信息系統密碼應用高風險判定指引》

【發布時間】2021/12

【主要內容】本文件給出了信息系統密碼應用過程中可能存在的高風險安全問題。本文件適用于指導、規范信息系統密碼應用的規劃、建設、運行及測評。

● 《政務信息系統密碼應用與安全性評估工作指南》

【發布時間】2020/9

【主要內容】依據《中華人民共和國密碼法》及商用密碼管理規定，用于引導非涉密國家政務信息系統建設單位和使用單位規范開展商用密碼應用與安全性評估工作。